IntroducciónBloque 1Video conceptual

Gestión de la seguridad informática

Introducción

De más está decir que la información es el combustible gracias al cual las organizaciones
pueden desarrollar correctamente sus operatorias y, finalmente, obtener sus fines, sea la
obtención de ganancias si tienen fin de lucro o beneficios para la sociedad si son, por
ejemplo, ONG o entes estatales.

Además, tal cual lo definiéramos en la primera lectura, constituyen el “espíritu” de una

organización, porque en ella se condensan las historias de clientes, empleados, mercados
y proyectos. Por lo que resguardar ese espíritu requiere de firmeza y pericia, además de
conocimientos técnicos e infraestructura adecuada.

Entonces, es necesaria la creación de un sistema que permita asegurar que se cumplan

los principios rectores de la seguridad de datos (confidencialidad, integración y
disponibilidad) y, al mismo tiempo, gestionar toda la información contenida.

A estos sistemas se los denomina Sistemas de Gestión de Seguridad Informática o por

su sigla SGSI (en inglés Information Security Management System, ISMS).

1. Implementación de un SGSI

En principio debemos considerar que la implementación de un sistema de seguridad

informática no resulta un proceso sencillo.

Por un lado porque requiere identificar y priorizar el resguardo de los datos más
importantes de la organización, como también a quienes producen esos datos y a quienes
son relevantes, así como las posibles amenazas que pueden vulnerarlos.

Recordemos que entendemos por información al conjunto de todos los datos que posee
una organización y le asegura a esta la obtención de un valor añadido superior al que
pudiera reportar cada dato por separado.

Obviamente, los adelantos tecnológicos ayudan a hacer eficiente esta tarea, pero al
mismo tiempo, a aumentar la virulencia de los intentos de vulneración.

Los fundamentos entonces para la implementación de un SGSI pueden ser resumidos en

lo siguiente. 

1. Garantizar la confidencialidad de la información con la que cuenta la

organización.
2. Permitir el acceso y la utilización de la información y todos aquellos
sistemas implementados para el tratamiento de la misma por parte de los
usuarios autorizados para ello.
3. Asegurar que se mantenga de forma completa y exacta la información, o
sea, mantener la integridad de los datos.
4. Conocer y respetar el ciclo de vida de la información (de modo que sea
oportuna y pertinente) y establecer en base a ello el proceso –sistema–
conocido y explícito que permitirá cumplir con la consigna de preservar la
información y que, finalmente, será el SGSI.

En otro orden de cosas, podemos condensar la implementación de un SGSI en tres

aspectos fundamentales, todos ellos en el mismo nivel de jerarquía:

1. las herramientas a utilizar;

2. el mantenimiento del espíritu de resguardo de la información que incluye
el respeto de los aspectos legales;
3. la necesaria educación de los usuarios para su interacción efectiva con el
SGSI.

Profundicemos un poco.

Cuando nos referimos a las herramientas, contamos con varias posibilidades que la
organización podrá usar de acuerdo a su necesidad técnica pero, además, presupuestaria.

Tal vez la más básica sea la utilización de software antivirus en cada uno de los
dispositivos que se utilizan. O distintos tipos de software que producen bloqueo o
anuncian que se está produciendo o intentando una intrusión de elementos externos.

Del mismo modo puede ser la utilización de redes de área local que prevengan las
intrusiones, aun cuando su eficiencia esté lejos de ser cien por ciento efectiva, tanto por
los intentos cada vez más intensos desde el exterior como la negligencia desde el interior.

Figura 1: SGSI

Fuente: Elaboración propia.

Es también necesario que se trabaje con los usuarios (posiblemente la parte más sensible
del sistema) quienes deben conocer todo lo establecido por el SGSI.

Si el personal no está educado y compenetrado en el cumplimiento de la normativa que

impone el SGSI no hay posibilidad alguna de que, por más adelanto técnico que se utilice
y por más respeto a la legislación que se imponga, el sistema funcione adecuadamente.

Este aspecto resulta trascendental y ya ha sido tratado en lecturas anteriores, ya que

supone un desafío para el profesional de la seguridad informática y requiere de verdadero
liderazgo a la hora lograr que organizaciones con culturas rígidas o directivos y empleados
con modelos mentales duros, aprendan y se comprometan con la aplicación del SGSI.

Sistema que, desde ya, debe ser controlado y revaluado de manera permanente; tanto
para descubrir sus falencias y corregirlas como para asegurar el compromiso constante
por parte de los usuarios.

Beneficios de implementar un SGSI

En definitiva, la implementación de un SGSI debería reportarle a la organización varios
beneficios, entre los que se encuentran:

1. imponer una metodología clara, firme y estructurada de gestión de

seguridad;
2. reducir en la mayor cantidad posible la existencia de pérdidas de
información, robo o mala utilización de esta;
3. reevaluar de manera constante el sistema de seguridad de la
organización;
4. lograr la aceptación de los usuarios en los condicionamientos que impone
el SGSI y que ello repercuta en mayor grado de confianza en las
operaciones de la organización;
5. no solo impedir que el SGSI provoque entorpecimiento con otros
sistemas de gestión de la organización, sino que, por el contrario, facilite
el desenvolvimiento mutuo de manera eficiente;
6. superar rápidamente, si no pudo evitarse, el daño de un incidente grave
en la seguridad de la información;
7. imponer reglas claras tanto para personal de la organización como para
clientes externos, lo que alienta a la confianza y la motivación de
interacción en la estructura organizacional y de ésta con el contexto
exterior.

Documentación clave
Por otro lado, y entendiendo que el SGSI debe estar documentado, deben poder
reconocerse:

1. la política y los objetivos de seguridad;

2. el alcance del SGSI y los usuarios y sus responsabilidades;
3. todo procedimiento que se ha de implementar para poner en
funcionamiento el sistema de seguridad y para auditarlo;
 4. dejar en claro la metodología a utilizar para realizar evaluaciones de
riesgos;
5. establecer el procedimiento una vez detectado el riesgo;
6. el procedimiento de producción, uso y archivo de toda la documentación
que surja de aplicar el SGSI.

Conclusiones
Debe considerarse que la implementación de un SGSI es, aún con los mejores elementos
técnicos, vulnerable. Y que para su gestión debe tomar parte activa cada uno de los
usuarios (en sus respectivos niveles) internos y externos.

Deben quedar bien claros y establecidos los procedimientos que imponga el SGSI,
debiendo además implementar los mismos con criterio y pertinencia.

Nunca la implementación de un SGSI puede atentar con el logro de los objetivos de una
organización. Todo lo contrario, debe potenciar cada fibra de la misma al cumplimiento de
ellos en el marco del correcto resguardo de la información.

Anímense a un examen introspectivo y contesten estas preguntas

1. ¿Respecto de un SGSI, en cuáles elementos se basa su implementación? 

2. ¿Cuál es el mayor desafío de implementar un SGSI, según su opinión?
3. ¿Qué beneficios internos trae la implementación de un SGSI?
4. ¿Qué beneficios externos trae la implementación de un SGSI?

Video conceptual


Interactive
Video